Tyupkin: Manipulation von Geldautomaten durch Malware

Früher in diesem Jahr führte Kasperskys Global Research and Analysis Team, GReAT, auf Anfrage einer Finanzinstitution, forensische Ermittlungen einer cyberkriminellen Attacke auf zahlreiche Geldautomaten in Osteuropa durch.

Im Zuge dieser Ermittlungen entdeckten wir ein Schadprogramm, dass es Angreifern ermöglicht, die Geldkassetten von Bankomaten durch direkte Manipulation zu leeren.

Zum Zeitpunkt der Ermittlungen war die Malware auf mehr als 50 Geldautomaten in osteuropäischen Banken aktiv. Ausgehend von von VirusTotal vorgelegten Daten glauben wir, dass das Schadprogramm sich in einige andere Länder ausgebreitet hat, die USA, Indien und China eingeschlossen.

Aufgrund der Natur der Geräte, auf denen die Malware läuft, verfügen wir nicht über KSN-Daten, um das Ausmaß der Infektion zu bestimmen. Doch auf der Grundlage einer von VirusTotal erstellten Statistik, erkennen wir ein Vorkommen dieses Schadprogramms in den folgenden Ländern:

tyupkin_de_1

Tyupkin: Manipulation von Geldautomaten durch Malware

Diese neue Malware, die von Kaspersky Lab als Backdoor.MSIL.Tyupkin detektiert wird, betrifft Geldautomaten von einem großen Bankomaten-Hersteller, auf denen Microsoft Windows 32 läuft.

Die Malware setzt verschiedene raffinierte Techniken ein, um eine Detektion zu vermeiden. Erstens ist sie nur in bestimmten Nachtstunden aktiv. Sie verwendet dabei einen zufällig generierten Schlüssel für jede Sitzung. Ohne diesen Schlüssel kann niemand mit dem infizierten Geldautomaten interagieren.

Wird der Schlüssel korrekt eingegeben, zeigt das Schadprogramm Informationen über den in jeder Kassette verfügbaren Geldbetrag an und ermöglicht einem Angreifer, ohne physischen Zugriff auf den Geldautomaten 40 Banknoten aus der ausgewählten Kassette zu entnehmen.

Die meisten der analysierten Samples wurden um den März 2014 herum kompiliert. Doch mit der Zeit hat sich diese Malware weiterentwickelt. In ihrer letzten Variante (Version .d) verfügt die Schadsoftware über Anti-Debug- und Anti-Emulationstechniken und deaktiviert zudem McAfee Solidcore auf einem infizierten System.

Analyse

Dem Bildmaterial der Überwachungskameras an den Standorten der infizierten Geldautomaten zufolge können die Angreifer das Gerät über eine bootbare CD manipulieren und die Malware installieren.

Die Angreifer kopieren die folgenden Dateien in den Geldautomaten:

C:Windowssystem32ulssm.exe
%ALLUSERSPROFILE%Start MenuProgramsStartupAptraDebug.lnk

Nach mehreren Umgebungs-Checks entfernt das Schadprogramm die .lnk-Datei und erstellt einen Schlüssel in der Registry:

[HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun]
“AptraDebug” = “C:Windowssystem32ulssm.exe”

Die Malware ist dann in der Lage, mit Geldautomaten über die Standardbibliothek MSXFS.dll zu interagieren – Erweiterung für Finanzdienste (XFS).

Die Schadsoftware läuft in einer Endlosschleife und wartet auf Input des Nutzers. Um die Erkennung zu erschweren, nimmt Tyupkin (in der Standardeinstellung) nur sonntags und montags in der Nacht Befehle entgegen.

Die Malware akzeptiert die folgenden Befehle:

  • XXXXXX – Zeigt das Hauptfenster.
  • XXXXXX – Löscht sich selbst mit einer Batch-Datei.
  • XXXXXX – Verlängert die Zeitspanne der Malware-Aktivität.
  • XXXXXX – Verbirgt das Hauptfenster.

Nach jedem Befehl muss der Betreiber “Enter” auf dem Eingabefeld des Geldautomaten drücken.

Tyupkin verwendet Sitzungsschlüssel auch, um Interaktion mit zufälligen Nutzern zu verhindern. Nach Eingabe des Befehls zur Anzeige des Hauptfensters zeigt die Schadsoftware die Aufforderung “ENTER SESSION KEY TO PROCEED!”- „Geben Sie den Session-Schlüssel ein, um fortzufahren!“- an, wobei für jede Sitzung ein Seed Key verwendet wird.

Der Angreifer muss den Algorithmus kennen, um einen auf dem gezeigten Seed Key basierenden Sitzungsschlüssel generieren zu können. Nur wenn dieser Schlüssel korrekt eingegeben wird, ist es möglich, mit einem infizierten Geldautomaten zu interagieren.

Daraufhin zeigt die Malware die folgende Mitteilung an:

CASH OPERATION PERMITTED.
TO START DISPENSE OPERATION –
ENTER CASSETTE NUMBER AND PRESS ENTER.
(BAR-VORGANG ERLAUBT. UM DEN AUSGABEVORGANG ZU STARTEN, GEBEN SIE DIE KASSETTENNUMMER EIN UND DRÜCKEN SIE ENTER).

Wird nun eine Kassettennummer eingegeben, gibt der Geldautomat 40 Banknoten aus dieser Kassette aus.

Tyupkin: Manipulation von Geldautomaten durch Malware

Wird der Sitzungsschlüssel falsch eingegeben, deaktiviert das Schadprogramm das lokale Netzwerk und zeigt die folgende Nachricht an:

DISABLING LOCAL AREA NETWORK…
PLEASE WAIT…
(LOKALES NETZWERK WIRD DEAKTIVIERT…
BITTE WARTEN…)

Es ist nicht klar, warum die Malware das LAN deaktiviert. Vermutlich geschieht das, um entfernte Untersuchungen zu verhindern oder zu unterbrechen.

Ein Video mit einer Demonstration an einem echten Geldautomaten ist unter dem folgenden Link verfügbar: http://youtu.be/QZvdPM_h2o8

Fazit

In den letzten Jahren beobachten wir eine deutliche Zunahme von Angriffen auf Geldautomaten unter Verwendung von Skimming-Geräten und Schadsoftware. Nach umfassenden Berichten über Fälle, bei denen Finanzdaten von Banken auf der ganzen Welt abgegriffen wurden, kam es zu einem energischen Durchgreifen der Strafverfolgungsbehörden rund um den Globus, das zu Verhaftungen und Verurteilungen von Cyberkriminellen führte.

Die erfolgreiche Verwendung von Skimming-Geräten zum heimlichen Auslesen und Kopieren von Kredit- und Bankkarten, wenn die Kunden ihre Karten in Geldautomaten bei Banken oder Tankstellen stecken, ist hinreichend bekannt. Dieses Problem ist mittlerweile stärker in das öffentliche Bewusstsein gerückt, so dass die Bankkunden nun auf der Hut sind und Vorsichtsmaßnahmen ergreifen, wenn sie öffentliche Bankomaten benutzen.

Nun werden wir Zeuge der natürlichen Evolution dieser Bedrohung, wobei die Cyberkriminellen in der Nahrungskette aufsteigen und nun die Finanzinstitutionen direkt angreifen. Das geschieht über die unmittelbare Infektion der Geldautomaten selbst oder durch direkte APT-artige Angriffe auf die Bank. Die Tyupkin-Malware ist ein Beispiel dafür, dass die Angreifer eine Stufe aufgestiegen sind und Schwachstellen in der Infrastruktur von Geldautomaten finden.

Die Tatsache, dass auf vielen Bankomaten Betriebssysteme mit bekannten Sicherheitslücken laufen, sowie fehlende Schutzlösungen sind weitere Probleme, die dringend behandelt werden müssen.

Wir empfehlen den Banken, die physische Sicherheit ihrer Geldautomaten zu überprüfen und über eine Investition in hochwertige Sicherheitslösungen nachzudenken.

Empfehlungen

Wir empfehlen Finanzinstitutionen und Organisationen, die Geldautomaten vor Ort betreiben, die folgenden Richtlinien zu beachten:

  • Überprüfen Sie die physische Sicherheit Ihrer Geldautomaten und denken Sie über eine Investition in hochwertige Sicherheitslösungen nach.
  • Ändern Sie die Standard Upper Pool Lock und die Standard-Schlüssel in allen Geldautomaten. Vermeiden Sie die Verwendung von Master-Keys vom Hersteller.
  • Installieren Sie Alarmanlagen an den Geldautomaten und stellen Sie sicher, dass sie auch funktionieren. Beobachtungen zufolge infizierten die Cyberkriminellen hinter Tyupkin nur Geldautomaten ohne Alarmanlagen.
  • Um zu erfahren, wie Sie in einem Schritt herausfinden können, ob Ihre Automaten infiziert sind, nehmen Sie über die folgende Adresse Kontakt mit uns auf: intelreports@kaspersky.com. Um die Geldautomaten-Systeme komplett zu scannen und die Backdoor zu löschen, verwenden Sie bitte das kostenlose Virus Removal Tool von Kaspersky Lab (zum Download geht es hier).

Allgemeine Ratschläge für Betreiber von Geldautomaten außer Haus

  • Stellen Sie sicher, dass der Geldautomat in einer offenen, gut beleuchteten Umgebung steht, die von sichtbaren Überwachungskameras beobachtet wird. Der Bankomat sollte sicher auf dem Boden mit einem Anti-Lasso-Gerät befestigt sein, das Verbrecher abschreckt.
  • Überprüfen Sie die die Bankomaten regelmäßig auf Anzeichen, die auf das Anbringen von Dritt-Geräten (Skimmer) hinweisen.
  • SeienSie auf der Hut vor Social Engineering-Attacken von Kriminellen, die sich als Sicherheitsinspektoren für die Alarmanlagen, Überwachungsanlagen oder andere Geräte vor Ort ausgeben.
  • Nehmen Sie Eindringungsalarme ernst und verhalten Sie sich dementsprechend, indem Sie die zuständigen Strafverfolgungsbehörden über jedes potentielle Leck informieren.
  • Ziehen Sie in Betracht, den Geldautomaten mit gerade ausreichend Geld für den Betrieb für einen Tag auszustatten.
  • Mehr Empfehlungen – sowohl für Händler als auch für Nutzer – finden Sie unter  http://www.link.co.uk/AboutLINK/site-owners/Pages/Security-for-ATMs.aspx

Ähnliche Beiträge

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.